中国铁路某局集团有限公司,是国家铁路集团有限公司管理的大型铁路运输企业的十八个铁路局之一,此处简称为:M局,成立于二十世纪中期,地处国家边陲,内连境内多个地区,外接周边诸国,承担着服务边疆、稳固祖国边境的重要任务。虽然地理位置特殊,但交通日渐便利,与内地和世界的联系日渐密切,联通内外的“交通网”越织越密,区域协作的“关系网”越扩越大。新时代背景下,M局管辖范围的铁路建设走上了快车道,数字蓄力,互联网与铁路网“双网融合”,不仅全力满足人民群众对美好旅行生活的向往和需求,也让货运市场涌动创新活力。
图源:网络
随着数字化建设的逐渐深入,为了支撑边疆铁路的智慧高效发展,M局信息技术所承接的局内各级单位的软件开发需求,项目数量庞大、种类繁多,且人手与时间都比较紧张,软件开发与运行生命周期中的供应链安全问题日益凸显。与此同时,M局积极响应上级部门关于信息供应链安全的相关政策,非常重视软件开发过程与上线后的质量与安全,经过仔细的研究与评估,最终选择默安科技雳鉴系列产品及相关服务,建设软件供应链安全监测平台,制定相关的规范与流程,解决目前存在的多项实际问题,从而降低供应链安全风险,全面提升开发人员安全水平与软件安全质量。
针对M局的软件供应链安全现状,默安科技的专家团队拟定出了整体思路:立规范、建平台、保落地。建设由源代码安全检测模块(SAST)、开源组件分析模块(SCA)、交互式应用安全检测模块(IAST)等核心模块组成,全面满足信创要求的软件供应链安全监测平台。配合伴随式的软件供应链安全运营服务,以及专业的技术支持服务、安全培训服务、渗透测试服务、上线前安全漏洞扫描服务等,提高漏洞的发现能力并确保有效处置与闭环,提升M局整体的软件供应链安全能力。
工具部署:完成源代码安全检测、开源组件分析、交互式应用安全检测工具部署、调试;
在上线数月之后,默安科技的产品与服务从以下四个方面为M局的软件供应链安全工作带来可圈可点的价值,赢得相关部门负责人的认可。
综合利用源代码安全检测、开源组件分析、交互式应用安全检测工具和渗透测试、漏洞扫描服务发现系统现有的安全漏洞。
针对发现的安全漏洞,协助开发人员进行有效的处置,并通过安全编码规范等有效避免常见的漏洞。
通过培训赋能、日常工具使用以及测试指南等,提升开发人员对于安全漏洞的认识,并掌握针对常见漏洞的有效测试方法。
通过安全能力与安全意识的提升,辅助开发人员提升安全短板,解决目前存在的多项实际问题,降低供应链安全风险,全面提升软件安全质量,有效满足铁路集团的相关监管与合规要求。
在软件供应链安全领域,默安科技具备专业扎实的安全产品与服务团队,以及多个行业的成功落地实践,此次携手M局,共同打好软件供应链安全这场攻坚战,护航边疆铁路数字化建设,从“走得了”到“走得好”,为安全优质、智慧高效、融合畅行、人民满意的客货运服务体系贡献安全力量。